影响安全级网络通信协议确定性的关键要素分析

北京广利核系统工程有限公司 孙王强

环境保护部核与辐射安全中心 尹宝娟

北京广利核系统工程有限公司 周小波，龙威，赵云飞

影响安全级网络通信协议确定性的关键要素分析

北京广利核系统工程有限公司 孙王强

环境保护部核与辐射安全中心 尹宝娟

北京广利核系统工程有限公司 周小波，龙威，赵云飞

在国产化核安全级仪控系统研制中，实现具备确定性特点的网络通信协议是一项核心关键技术。本文依据核安全级通信网络协议分析验证的实践经验，提出了影响协议确定性的三项最为关键的因素，包括数字化系统的累计特性、离散特性和并行特性，文中阐述了这些影响因素的常见形式、作用原理、控制方式。通过在国产化安全网络研制项目的应用，表明其对协议确定性分析验证实践具有较好的指导性。

确定性；安全协议

执行核安全功能的核安全网络在数字化核安全级仪控系统中占据重要地位，系统的功能分配及联系通常需借助数字通信实现，通信把各类智能设备和系统联系成一个有机整体，实现各设备与系统相互独立、并行运行、互相配合的设计目标。确定性是安全系统应用的要求，是衡量仪控系统安全性的一个重要标准，在系统故障和安全事故的预防、检测、处理上具有至关重要的作用。同时，各大标准体系对通信的确定性都有明确要求，因此，对核安全级通信网络开展验证是V&V过程的一个重要内容。

在构成网络的四要素中，协议处于分布式系统的中心协调者角色，需支持相关设备/系统的应用功能和设计要求，同时还受物理介质等通信自身特点的限制，需要考虑的状态、条件、动作、结构等因素非常多，各因素之间的相互作用关系也非常复杂。因此，通信协议通常条款比较多、不容易清晰表达，给验证工作带来困难。

确定性是核安全级通信网络区别于常规工业通信网络的重要特征之一，是保证网络安全的重要设计原则，国家标准、欧洲标准和美国NRC机构都对通信确定性有明确要求[1][2][3]；同时，影响网络确定的关键要素国内少有涉及，本文从数字化分布式系统的特点出发，提出影响安全网络确定性的关键要素，阐述其作用机制和常见的表现形式，并结合具体案例说明消除或缓解这些影响的常见措施。

1 通信协议及安全级网络通信协议的确定性

1.1 通信协议的一般性结构

通信协议通常包括四方面内容：词汇和消息格式、交互规则、运行环境、服务接口[4]。

（1）词汇和消息格式：规定了报文的内容及形式，包括数据单元和控制单元。数据单元是待传输的数据内容，控制单元是为准确有效的传输数据而辅助的内容，如：寻址字段、数据校验字段等。

（2）交互规则：交互规则规定了通信时，协议主体的行为时序和发生条件。协议主体的行为可分为主体内部行为和主体间行为。

（3）运行环境：运行环境规定了对协议词汇和消息格式、交互规则的约束，这些约束将影响着词汇和消息格式、交互规则的制定。

（4）服务接口：即协议各功能接口，这些功能接口主要是面向应用。

其中，词汇和消息格式以及交互规则体现了协议逻辑特性，由此使协议被视为一种软件体。交互规则承载受着通信的多数应用需求，另一方面也同时直接受限于系统设计方案，其设计和实现比较复杂，是协议验证的难点。

1.2 安全级网络通信协议的确定性

通信协议的不确定性有两层含义，一层含义是协议规定中出现灰色规则，即描述不清晰的规则、或内容上相互不一致甚至相互抵触的规则；另一层含义，是指由于数字化系统及其应用存在诸多潜在不确定因素，在协议中如果对与通信相关的不确定性影响因素控制不力（规则不完备），也是通信协议的不确定。

为保证通信确定性，通常将通信行为、完成时间、消耗资源等设计为满足特定规则，其中主要的常用规则已明确到核安全法规标准中了，如：

（1）在IEC 60880-2006（已转换为能源行业标准NB/T20054-2011“核电厂安全重要仪表和控制系统执行A类功能的计算机软件”）中规定，同一冗余列内使用的通信链路应具备确定性要求；

（2）在ISG-04（Highly Integrated Control Rooms & Digital Communication Systems）中规定，消息的格式和协议应该预先被确定，每个消息都应该有相同的消息域结构和位置顺序，每个传输周期应该包含所有的数据而不管数据是否发生变化，这些都是为了保证系统行为的确定性。

在NUREG-CR-6991（Design Practices for Communications and workstations in Highly Integrated Control Rooms）中也明确要求，安全系统之间的通信也应具备确定性。

2 影响通信协议的确定性的关键因素

验证通信协议的确定性时，可以采用反证的方法：只要能验证引起通信协议不确定的因素已消除或控制并且相关消除和控制措施没有引入新的不确定因素，就可判断该通信协议就是确定的。

从分布式数字化系统的固有特征分析，引起通信协议不确定的主要因素有并行、离散、累计特性：系统分布式引起并发处理—并行；数字化引起参变量的不连续—即离散；系统时间和资源相关的动态特征—累计。下文将依次对其进行论述。

2.1 累计特性

累计特性指通信主体的行为受其之前通信处理和通信结果的影响。具备累计特性的通信协议，能使系统状态平稳的变化，增强系统的鲁棒性。但是，通信主体的累积特性会使得通信主体自身的动作灵敏度降低，系统惯性较大，通信主体的行为不仅受当前状态影响，还受限于历史状态，靠当前状态迅速预测通信行为或判断通信故障较为困难。

常见的累计形式有：协议中与通信交互次数（如计数值）、某些特定事件（如丢包或其它异常动作）出现次数相关的规定、与特定公共通信资源（如信道缓存量、动态ID号）消耗量相关的规定。

以通道缓存量为例：假设通信主体P1根据需要申请占用网络的公共资源-通信信道，信道缓存量为1M/S，当信道上缓冲的数据在单位时间（1秒）内超过1M后，通信主体将会申请失败。这时，通信主体要么继续申请，要么放弃本次申请，不论哪种方式，都会影响数据的正常发送，会造成通信的延时甚至丢包，导致通信不能提供确定的服务。

2.2 离散特性

离散特性指通信主体的行为时有时无，不连续的，用某一时刻t的状态假定为一段时间T的状态，这是数字化系统的基础。T选择过小，会使系统无效负荷加大，系统实现复杂；T选择过大，会导致信息的淹没，使得数字化系统不能有效地预防、检测和处理故障。从理论上讲，采样频率应满足采样定律，在工程实践中，采样频率一般为信号频率的6～7倍。

以离散特性造成丢包为例：主体P1以周期Tsend发送数据，主体P2以周期T运行，以Trecv接收数据，Tsend

图 1 离散特性示意图

从P1发送的某一包数据开始计时，这帧数据记为1#帧，此时距接收主体P2的接收时刻还有时间，之后每间隔时间Tsend陆续发送2#、3#......报文，那么通信主体P1发送出的报文能够被P2接收到应满足如下关系：

显然，不能预先设定，受P1和P2初始化时间影响，因此P2接收到P1的报文是不确定的。

2.3 并行特性

并行特性，指协议允许各通信主体主动发起交互或作出通信响应。具有并行特性的通信协议，能提供应用功能的异步配合，降低各通信方之间的相互耦合度，且传输效率较高。但是，并行运行的各通信主体间配合精度低、特别是通信主体间会发生资源征用冲突。支持并行特性的通信协议关键技术是解决链路访问冲突、通信体之间的同步、主节点选举等问题。

在并行环境和通信协议约束下，各通信体的行为不能完全由自身状态和期望决定，还要受限于其它通信主体的状态和行为，在未能全面掌握系统所有通信体状态的情况下，导致该通信体行为难以预测，给设计和验证带来困难。

假设两个完全相同的通信主体A、B共享同一传输通道chanel传输消息M，通信通道的排他性使得某一时刻只能由一个通信主体独占使用，通信主体A通常的做法是：首先查看通道是否被占用，如果未占用，则占用，并设置独占标志；如果占用，则等待一段时间后再次申请，直至申请成功并传输消息，这就是载波监听多路访问算法。显然，通信主体A将消息M发送出去的时间是不确定的。当多个通信主体使用同一传输通道时，可能会导致某个通信主体有效的将数据发送出去，甚至一直不能发送数据。这在核安全级通信中是明确禁止的，设计应当予以避免。

通常的办法有基于分时传输的协议、有基于主从结构的协议，这些协议都能够解决这类资源访问竞争的问题（但是因为违背单一故障原则，它们不能直接用于安全序列间等重要的通信场合），在核安全协议中，通常采用有限等待原理，在指定时间段内，有限占用和等待被竞争的资源，保证每个节点在确定的时间内获取资源，以保证整个协议的确定性。

3 通信协议确定性案例

网络结构：在国产化核安全级DCS系统设计中，部分网络通信采用了环网结构[5]，如图2所示。

图 2 安全网络示意图

对该环网通信协议，采取的一系列确定性设计措施[6]，包括无中断和无操作系统、节点信息静态配置、数据包大小固定、定周期收发、数据生产者-消费者模型等。

在验证上述协议的确定性设计措施正确的基础上，进一步分析可能诱发不确定性的因素，如表1所示。

4 结语

本文提出了通信协议确定性的影响要素，阐述了这些要素常见的设计表现形式。通过在国产化核安全级通信网络研制实践，证明这种方法能有效揭示影响协议确定性的关键环节，提高分析验证的质量和效率。

[1] NUREG - CR - 6991. Design Practices for Communications and workstations in Highly Integrated Control Rooms [S].

[2] IEC 61500 - 2009. Data communication in systems performing category A functions [S].

[3] IEC 60880. Nuclear power plants Instrumentation and control systems important to safety Software aspects for computer - based systems performing category A functions [S].

[4] Design and validation of computer protocols [M].

[5] IEEE STD 802. 17 TM - 2004. Resilient packet ring(RPR) access method and physical layer specifications [S].

[6] IEC 61784 - 3. Industrial communication networks – Profiles Part 3: Functional safety field buses General rules and profile definitions [S].

The Key Factors Influencing the Safety Network Communication Protocol

In the domestic nuclear safety instrumentation and control systems development, it is a key technology to implement network communication protocol with the deterministic character. Based on the practical experience of nuclear safety level communication network protocol verification , this paper puts forward the three key factors influencing certainty of agreement, including the accumulative characteristics of the digital system, discrete features and parallel features. The common forms, action principle and control mode of these factors are introduced in the paper. Through the application of localization safety network development project, it is confirmed that the theory has superior guidance to protocol deterministic analysis verification of protocol.

Deterministic; Safety protocol

孙王强（1979-），男，山东潍坊人，硕士研究生，现就职于北京广利核系统工程有限公司，主要研究方向为核安全级工业通信、核安全级仪控系统。